Ransomware is overal, ook op de Mac. Volgens de Autoriteit Persoonsgegevens nam het aantal meldingen over ransomware in 2019 met een kwart toe. Van 2016 tot 2019 steeg het aantal zelfs met 1555% – van 58 meldingen naar 902! En dan hebben we het niet eens over het aantal niet gemelde gevallen dat waarschijnlijk nog véél hoger is.
Een prominent voorbeeld was onlangs in het nieuws. Rond de kerst afgelopen jaar had de Unversiteit Maastricht last van een grote ransomware-aanval. Hackers sluizden ransomware in het universiteitsnetwerk, versleutelden bestanden en eisten losgeld. Volgens de Volkskrant heeft de universiteit uiteindelijk tussen de 200.000 tot 300.000 euro betaald om weer bij de bestanden te kunnen. Hoog tijd dus om je systemen goed te beveiligen.
Nu denk je misschien dat je met een Mac sowieso veilig bent, maar nee: er bestaat ook ransomware voor Mac en deze is niet minder gevaarlijk dan zijn Windows-tegenhangers. Wel heb je met macOS veel betere mogelijkheden om je te beschermen. Hier laten we een gratis programma zien dat je al bij de kleinste aanwijzingen op ransomware waarschuwt en de mogelijkheid biedt om het virus te verwijderen.
De iPhone 14 Pro nu tot €10 korting per maand!
Heb je al internet van KPN thuis? Profiteer dan van extra voordelen
Hoe werkt ransomware op de Mac?
Ransomware, ook wel gijzelsoftware genoemd, is een bijzonder sluwe virus-variant. Deze maakt je computer niet trager, noch verspreidt die spam op het wereldwijde web. Een ransomware maakt alle bestanden op je harde schijf ontoegankelijk, door ze te versleutelen. Vervolgens verschijnt een venster op het scherm waarin hackers losgeld eisen om de bestanden te ontgrendelen. Overigens is dit maar uiterst zelden een realistische optie, want vaak hebben de hackers zelf geen mogelijkheid om de bestanden nog te ontcijferen. Vooral niet het losgeld betalen dus, maar beter meteen de politie inschakelen!
Bekende ransomware uit het verleden zijn WannaCry en Locky, op dit moment is Ryuk in omloop, vaak in combinatie met Emotet. Van deze ransomware varianten zijn vaak ook Mac-versies te vinden. De eerste Mac-ransomware was KeRanger. Kijk hier voor een overzichtspagina met allerlei virussen, malware en ransomware voor de Mac.
RansomWhere?
De beveiligingsonderzoeker en ontwikkelaar Patrick Wardle heeft een aantal slimme (en gratis) apps gemaakt die macOS vele malen veiliger maken. Een daarvan is RansomWhere?. Dit programma controleert of er ergens op je harde schijf bestanden door ransomware versleuteld worden (met minimale systeembelasting). Is dit het geval, kun je dat proces meteen afsluiten en met behulp van het weergeven pad het virus verwijderen. Zo installeer je de app.
In de komende weken gaan we nog meer van deze praktische hulpmiddelen bespreken. Houd onze site in de gaten of abonneer je op onze nieuwsbrief.
1. Ransomware op de Mac
RansomWhere? is de app die je tegen ransomware op de Mac moet hebben. Download het programma, pak het zip-bestand uit en open ‘RansomWhere_installer’.
2. App installeren
Bevestig het openen van de installatie, voer je Mac-wachtwoord in en klik in het volgende venster op ‘Install’. Dat was het al! Nu vraagt de ontwikkelaar nog om donaties, maar dit is uiteraard niet verplicht. Klik op ‘Next’ en daarna op ‘No’ en de installatie wordt afgesloten.
3. RansomThere!
Het programma checkt nu continu op de achtergrond of een verdacht programma bestanden versleutelt, dus precies wat een ransomware zou doen. Via ‘Terminate’ sluit je het verdachte programma af en kun je het daarna verwijderen.
Melding gekregen?
Heb je een melding van RansomWhere? gekregen? Blijf dan vooral rustig en lees aandachtig wat er staat. Sommige ‘normale’ apps willen namelijk zo nu en dan ook bestanden versleutelen. Zo kregen we te horen dat de Adobe Acrobat Updater soms RansomWhere? triggert. We hebben dit gecheckt en blijkbaar versleutelt de updater inderdaad een deel van zijn eigen bestanden. Dit is normaal gedrag en je mag het gerust vertrouwen. Een goed signaal is overigens de regel ‘sign: validly signed by Apple’ in de melding van RansomWhere?. Als dit er staat, is de kans al enorm veel kleiner dat het echt om ransomware gaat.
100% veilig tegen ransomware op Mac?
Uiteraard is ook RansomWhere? niet 100% veilig, maar dat ben je nooit. Zo gaat het programma ervan uit dat je systeem tijdens de installatie nog niet besmet is. Alles wat tijdens de installatie op je Mac staat, wordt als veilig bestempeld. Het slimst is het dus om de app meteen na een schone installatie van macOS op je Mac te zetten.
Hoe weten jullie dat Ransomwhere zelf geen programma is dat juist voor versleuteling zorgt?
Dit hebben we natuurlijk uitgebreid getest hier.
Dan dus niet getest dat deze z.g. freeware ontwikkelaar eerst vraagt en controleert het e-mailadres van de opgegeven accountaanvraag en daarna een abonnementsduur verbind aan de download. Zonder instemmingen geen installatie. Gezien de websiteopbouw dacht ik in de beginjaren 90 te zijn beland. Geen verdere actie ondernomen. Dit stinkt
Tjaaa, aan de website zie je inderdaad dat de ontwikkelaar geen webdesigner is maar een IT-veiligheidsexpert. En nee, geen abonnementsmodel – die man verdient volgens mij al genoeg geld ?
Maar: complimenten voor je kritische houding. Niet zomaar alles van internet installeren is heel slim. In dit geval echter een gemiste kans.
Het lukt mij niet om het programma te installeren zonder een abo model te kiezen. Doe ik nu iets verkeerd ?
Heel vreemd … de ontwikkelaar vraagt na de installatie wel om donaties, maar dit is uiteraard niet verplicht. Kies na het installeren voor ‘Next’ en daarna ‘No’ (zoals we ook uitleggen in de stappen hierboven) en je hoeft geen ‘abo-model’ te kiezen. Daarna werkt RansomWhere gewoon op de achtergrond.
Ik kan deze ook niet installeren op verscheidene apple computers…. Of je bij de installatie nu wel of geen donatie klik doet, het stopt daarna meteen….
Ik heb bitdefender op mijn wifi systeem (Orbi). Die beschermt al tegen ransomware. Kan ik desondanks dit programma nuttig gebruiken of is het overbodig?
RansomWhere werkt niet op basis van virusdefinities zoals Bitdefender. Het voordeel hiervan is dat RansomWhere ook een compleet nieuwe en onbekende ransomware kan herkennen. Het is dus een prima aanvulling.
Helder!
Wordt de back-upschijf voor de Time machine ook geïnfecteerd bij een ransomware aanval? En zo ja, is het dan aan te bevelen om deze alleen aan te sluiten voor een backup en niet continu in de Mac te laten zitten?
Goede vraag! Voor zover ik weet heeft het systeem geen directe schrijfrechten op je oude back-up’s in Time Machine. Deze zijn volgens mij dus veilig. Nieuwe back-ups worden daarentegen wel versleuteld opgeslagen door de ransomware. Maar je hebt dan dus nog de kans om de bestanden te herstellen.
Maar ik moet hier even eerlijk zijn: ik weet dit niet 100% zeker. Misschien dat er een bijzonder kwaadaardige ransomware (die eventueel nog niet eens bestaat!) wel toegang kan krijgen tot je oude reservekopieën. Helemaal veilig ben je alleen als je de schijf loskoppelt.
Is er ook een manier om ransomwere op te sporen zonder eerst een schone installatie te doen?
Daar gaan we in een toekomstig artikel nog wat uitgebreider op in. ?
RansomWhere maakt bij installatie een lijst aan van “trusted” software die op dat moment op je Mac aanwezig is. Hierdoor wordt eventueel al aanwezige ransomware geclassificeerd als “veilig”. Vandaar het advies om vanaf een schone installatie te starten. In het artikel van Patrick Wardle vind je echter ook instructies om de lijst van veilige processen te wissen. Ik neem aan dat de “prijs” die je hiervoor betaalt is dat je een groot aantal “allow” clicks moet geven, terwijl je niet altijd over de kennis zult beschikken om te beoordelen of een process veilig is of niet.
Ik heb Ransomwhere geinstalleerd maar zie dit nergens terug. Niet in het Launchpad of apps. Ik zie ook niet dat er iets gebeurd.
Dat is het mooie van RansomWhere: je merkt er niets van, tot het moment dat er ransomware op je Mac bezig is. Wil je een bevestiging dat RansomWhere actief is? Open ‘Activiteitenweergave’ (bijvoorbeeld via Spotlight) en zoek op het tabblad CPU rechtsboven naar ‘RansomWhere’. Dan verschijnt het proces.
Ik zie het niet terug op deze manier, wel bij het tabblad “Schijf” Inmiddels zie ik het proces ook verschijnen bij tabblad “CPU”
Tja, Ik ken Patrick Wardlle niet en kan niet beoordelen of ik hier het paard van Troje binnen haal.
Waarom heeft Apple niet zoiets?
Patrick Wardle is een bekende beveiligingsonderzoeker. Hij stond bijvoorbeeld al in Der Spiegel (https://www.spiegel.de/netzwelt/gadgets/apple-hacker-patrick-wardle-ein-mac-ist-leicht-zu-hacken-a-1281361.html) en Washington Post (https://www.washingtonpost.com/technology/2020/01/29/apple-iphone-bezos-hack/). En grote kans dat Apple iets soortgelijks in macOS bouwt.
kan het niet openen na downloading. ?? Virus scan ff uitgezet.maakt niet uit
Zou het kunnen dat je in ‘Systeemvoorkeuren>Beveiliging en privacy>Algemeen’ geactiveerd hebt dat alleen apps uit de Mac App Store toegestaan zijn? Dat is heel goed, alleen voorkomt het in dit geval dat RansomWhere? geïnstalleerd kan worden. Ctrl-klik op de installatie en kies ‘Open’, dan werkt het wel.
Hoe kan je deze app in de toekomst weer verwijderen als je dat wilt?
sorry heb het al gevonden, via de install App
wat is install app? weer een losse app die ik moet installeren
Nee, gewoon de installatie van RansomWhere? nog een keer uitvoeren. Op het eerste scherm zit al een ‘Uninstall’-knop.
Heeft het nog invloed op de performance van je Mac? Net als vele virusscanners dit kunnen veroorzaken.
Meteen na de installatie analyseert RansomWhere? een paar minuten je Mac, daarbij wordt de processor even belast. Daarna bedraagt de systeembelasting bij ons gemiddeld echter maar 0,2%. Niet te vergelijken met een virusscanner dus.
Ik heb enthousiast als ik ben deze app Randsomwhere geïnstalleerd maar ik heb de indruk dat dit weer zo’n processie is dat de sluimerstand onmogelijk maakt. Hoe kan ik hem weer de-installeren?
ps. installeren ging zonder probleem, geen vraag om een abo gezien.
ps2, sorry, mijn vraag over de-installatie al gevonden hieronder, maar toch wel benieuwd of dit ding het in sluimerstand kan tegenhouden, want dat gebeurt namelijk weer. sinds hij er op staat.
Hier werkt de sluimerstand zonder problemen. Gaat het om een iMac of MacBook?
Enige dagen geleden geïnstalleerd en plots verschijnt er vandaag een melding in beeld:
bash’s kids are ?’ing files!
proc: (25718) /bin/bash
sign: validly signed by Apple
Bij files wordt verwezen naar Adobe Acrobat updater.
Geen idee of ik dit proces kan vertrouwen of moet Terminaten. Is er ergens een whitelist te vinden?
Hoi Rick, ik heb even snel bij Adobe gekeken en het lijkt erop dat de Acrobat Updater inderdaad een deel van zijn eigen bestanden versleutelt. Dit is echter normaal gedrag en je mag het gerust vertrouwen. Een goed signaal is overigens de regel: ‘sign: validly signed by Apple’. Als dit er staat, is de kans al enorm veel kleiner dat het om ransomware gaat.
Ik heb RansomWhere zojuist geinstaleerd, alleen ik kan het nog niet terug vinden bij de activiteitenweergave. Klopt het dat het even duurt voordat het verschijnt? en verschijnt het ook onder de Ransomwhere?
Hallo Sven, Ik heb RansomWhere op de iMac staan (een week of twee). Er komt nu al een paar keer hetzelfde bericht in beeld na terminating. Bericht: rooksd is ? ‘ing files! proc; (159) / library/rapport/bin/rooksd sign: validly signed with a Apple Dev-ID ll ad-hoc files: (een hele code voor system) Weet jij wat rooksd is? En hoe kan je, als dit niet betrouwbaar is na ‘terminate’ definitief er van af komen? Hoor graag van je, alvast bedankt.
Hi Coen, rooksd lijkt een programma van IBM te zijn om je tegen fraude bij internetbankieren te beschermen. Het is ook wel bekend als IBM Trusteer Rapport. Ik heb verder geen ervaring hiermee, maar volgens mij is het een veilige app. Wel is het super geavanceerd en eventueel zelfs overkill op een ‘gewone Mac’ waar je verder geen spannende zaken doet. Het verwijderen van een programma dat RansomWhere heeft herkend is best simpel. Het gemakkelijkst is het om het pad van het bestand in Finder in te voeren, via de sneltoets Shift+Cmd+G, en daarna het bestand te verwijderen. Werkt dat… Lees meer »
Hallo Sven, ik krijg van RansomWhere de melding dat : rsync is locking files! Het is wel validly signed by Apple en het heeft iets te maken met Google Chrome Framework. Weet jij wat dit is en is het veilig om toe te staan of niet? Alvast bedankt voor je hulp.
Ik krijg inderdaad hetzelfde als pop-up met de keuze allow of terminate. @Sven weet jij of je dit kan accepteren of hoe krijg je de melding weg ?
In de app store staat hij niet. Op internet zijn verschillende aanbieders…..Is het mogelijk om een link te plaatsen?